（应用数学专业论文）一种无证书的代理环签名方案.pdf

摘要 2 0 0 1 年的亚密会上，r i v e s t 等人首次提出了环签名的概念。为了不泄露签 名者的真实身份，签名者在环签名中指定了一个可能签名者的集合( 或环) ，并 对某消息进行签名。验证者能够确信签名确实由环中的某个成员生成，但是他无 法指出真实的签名人。 2 0 0 3 年，a 卜r i y a m i 等人提出了无证书公钥体制( c l p k c ) ，无证书的公钥 签名方案避免了基于公钥证书签名方案中的证书存在问题，消除了基于身份签名 方案中的密钥托管问题。 2 0 0 3 年，z h a n g 等人提出了代理环签名方案，具有代理签名和环签名的优点， 在代理人想代表授权人签名，同时需要提供匿名性时是非常有用的。 鉴于无证书密码体制的优点，本文在一种无证书的环签名的基础上，并在授 权时采用短签名方案，提出一种无证书的代理环签名方案，该方案不需要证书的 管理，也没有密钥的托管问题，并且满足代理环签名所要求的可验证性，无条件 匿名性，不可伪造性，不可否认性，可鉴别性等性质。 关键词：无证书公钥体制：环代理签名；双线性对 a b s t r a c t t h ec o n c e p to fr i n gs i g n a t u r ew a sf i r s ti n t r o d u c e db yr i v e s te ta 1 i na s i a c r y p t 2 0 01 i nar i n gs i g n a t u r e ，i n s t e a do fr e v e a l i n gt h ea c t u a li d e n t i t yo ft h em e s s a g es i g n e r ， t h es i g n e rs p e c i f i e sas e to fp o s s i b l es i g n e r s t h ev e r i f i e rc a nb ec o n v i n c e dt h a tt h e s i g n a t u r ew a si n d e e dg e n e r a t e db yo n eo ft h er i n gm e m b e r s ；h o w e v e r ，h ei su n a b l et o t e l lw h i c hm e m b e ra c t u a l l yp r o d u c e dt h es i g n a t u r e t h ec e r t i f i c a t e l e s sp u b l i ck e yc r y p t o g r a p h yw a si n t r o d u c e db ya 1 - r i y a m ie ta 1 i n 2 0 0 3 c l - p k ca l l e v i a t e st h ek e ye s c r o wp r o b l e ma sw eh a v ei ni d - p k c ，a tt h es a m e t i m e r e d u c e st h ec o s ta n ds i m p l i e st h eu s eo ft h et e c h n o l o g yw h e nc o m p a r e d 、加t l l c e r t i f i c a t e - b a s e dp u b l i ck e yc r y p t o g r a p h y z h a n ge ta 1 p r o p o s e dap r o x yr i n gs i g n a t u r es c h e m ei n2 0 0 3 i th a sa d v a n t a g e so f p r o x ys i g n a t u r ea n dr i n gs i g n a t u r e i ti sv e r yu s e f u lw h e np r o x ys i g n e rn e e dt os i g n m e s s a g eo nb e h a l fo ft h eo r i g i n a le n t i t yw h i l ep r o v i d i n ga n o n y m i t y b a s e do nt h em e r i to fc e r t i f i c a t e l e s sp u b l i ck e yc r y p t o g r a p h y , i nt h i sp a p e r , w e p r o p o s eac e r t i f i c a t e l e s sp r o x yr i n gs i g n a t u r es c h e m eb yac e r t i f i c a t e l e s sr i n gs i g n a - t u r es c h e m ea n das h o r ts i g n a t u r es c h e m e t h er e s u l ts h o w st h a tt h ec e r t i f i c a t e l e s s p r o x yr i n gs i g n a t u r es c h e m en o to n l ys o l v e sa l lt h ep r o b l e m so fc e r t i f i c a t em a n a g e - m e n ta n dk e ye s c r o w , b u ta l s os a t i s f i e sa l lt h er e q u i r e dc h a r a c - t e r i s t i c s ( f o re x a m p l e ， v e r i f i a - b i l i t y , u n c o n d i t i o n a la n o n y m i t y , u n f o r g e a b i l i t y , u n d e n i a b i l i t yo rd i s t i n g u i s h - a b i l i t y ) o fp r o x yr i n gs i g n a t u r e k e y w o r d s ：c e r t i f i c a t e l e s sp u b l i ck e yc r y p t o g r a p h y ；p r o x yr i n gs i g n a t u r e ；b i l i n e a r p a l n n g 厦门大学学位论文原创性声明 兹呈交的学位论文，是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。本人依法享有和承担由此论文产生的权利 和责任。 声明人( 签名) ：石分右 一年易月厂日 厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦 门大学有权保留并向国家主管部门或其指定机构送交论文的纸 质版和电子版，有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅，有权将学位论文的内容编入有关 数据库进行检索，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 本学位论文属于 1 、保密() ，在年解密后适用本授权书。 2 、不保密( ) ( 请在以上相应括号内打“4 ) 作者签名：日期：年月 日 导师签名：髻毛 。输入消息所，此方案 将生成签名( “，m ，墨，疋，扛，吃，盯) 。其中，元素r l ，一，心在某集合中随机分 布且两两不相等；h i 是( 甜，m ，r ，) 的h a s h 值( 江l ，n ) ；盯的值完全由r l ，一，r 。， 魂，九和消息m 决定；另一个必要条件是没有r ，能以大- 于2 2 七的概率出现。 该方案由7 个算法组成：c l g e n ，c l s e t - s e c - v a l ，c l s e t p u b k e y ， c l e x t - - p a r t i a l - - p r i - - k e y ，c l s e t p r i k e y ，c l r i n g s i g ，v e r 2 4 1 系统生成c l g e n 1 输入后产生 ，其中g l 是一个阶为素数g 的循环群，以加法表 示其运算，g 2 是一个阶为素数q 的循环群，以乘法表示其运算，其中 q 2 七。e ：g lxg l g 2 是一个双线性对。 2 随机选择g l 的一个生成元尸。 8 预备知识 3 在z ：中随机均匀地选择一个主密钥s ，设昂= 妒。 4 选择两个h a s h 函数日l ： 0 ，1 ) _ g l ，h 2 ： 0 ，1 ) 一z 。，吼作为随机预言。 系统参数为p a r a m s = ，这是一个概率算法。 2 4 2 设定秘密值c l s e t s e c v ai 输入p 舢聊s ，用户虬的身份仍，和随机选择x rz 。，输出x 作为的 秘密值，这是一个概率算法。 2 4 3 公钥生成c l s e t p u b k e y 它以p a r a m s ，x 作为输入，输出用户虬的公钥只= ，其中 x 口= x p ，匕= x p o = x s p ，这是一个确定性算法。 2 4 4 部分私钥生成c l e x t p a r tial - - p ri - - k e y n p a r a m s ，用户虬的身份d ，s ，输出用户虬的部分私钥d 口， 其中d a = s q a g l ，q 口= h 。( d o1 1 只) g 1 ，这是一个确定性算法。 2 4 5 私钥生成c l s e t p ri - - k e y 输入p 甜d m s ，用户虬的部分私钥d 口，输出用户的私钥s 。= x d a = x s g ， s 。g 0 这是一个确定性算法。 2 4 6 环签名c l r i n g s i g 环“= u l ，一，u 。) 这些用户的公钥集记为= 丑，只) ，如果这个环中某个 用户u 。，a 1 ，n ) 想匿名地代表这个环u 对消息m 进行签名，他执行以下几 步： 1 对所有f 1 ，刀) ，f a ，在g l 中均匀随机地选择4 且这些4 是两两不同 的，计算r f = e ( a ，p ) g 2 ，h j = h 2 ( “，m ，r ，) 。 o 预备知识 2 在g l 中随机选择一个彳。 3 计算r 。= p ( 彳，尸) 兀p ( 一q f ，h ，r ) 其中r 为公钥只中的一部分，如果r 。= 1 g 2 或r 。l - r f ，i 1 ，力) ，i a ，则返回到第二步。 4 计算吃= h 2 ( “，m ，r 。) 。 计算盯= 吃s 。+ 彳+ a 1 其中s o 为用户乩的私钥。 6 消息m 的环签名为s i g n = ( “，m ，尺l ，r 。，啊，吃，o r ) 。 l ， 这是一个概率算法。 2 4 7 环签名验证v e r 验证以下三项是否成立 1 e ( x j ，p o ) = p ( z ，p ) ，i = 1 , 2 ，甩 2 h i = h 2 ( 甜，m ，r f ) ，i = l ，疗 e ( o - ，尸) - - y i r j 兀p ( q f ，h ，r ) 这是一个确定性算法。 2 4 8 安全性分析 文献 8 中做出了详细的正确性，无条件匿名性和不可伪造性的安全性分析。 1 0 一种无证书的代理环签名方案 第三章一种无证书的代理环签名方案 本方案基于上述无证书的环签名方案( c l - r s s ) ，并且在授权时为了缩短签 名长度，提高传输效率，采用短签名方案。设授权人为a ，真实代理签名人为b ， b 建立包括其本人在内的环“= u l ，一，u 。) ，其中b 为乩，待加密信息为m ，a 对b 的授权许可信息为w 。 3 1 签名方案 3 1 1 系统设置 k 为安全参数，g l 和g ：是两个阶为g 的循环群，其定义满足2 1 1 ，尸是g l 的生成元，定义两个安全的单向h a s h 函数日1 ： 0 ，1 ) 专g l ，皿： 0 ，1 ) 一z 。，其 中日：作为随机预言。最后k g c 输入七生成 ，并选取s 异z q + 作为主 密钥秘密保存，计算t o = s p ，公开系统参数 p a r a m s = 。 3 1 2 密钥生成 1 a 生成x 。尺z q 作为自己的秘密值。 2 公开公钥乞= ，x o = x 。尸，r o = x a e o = x a s p 。 3 k g c 生成a 的部分私钥见= j q g 。，q = h 。( 蛾j je o ) g ，传给a 。 4 a 生成自己的私钥& = x 。d o = x a s q a 。 5 同理可以得到环甜各用户u 。，i = 1 ，”的秘密值为一，他们的公钥分别为 = ，其中x ，= x f p ，z = x i e o = 艾j 妒，部分私钥为2 = s q g l ， q = h 。( 以1 1 只) g t ，私钥为s = z ，9 = t j q 。 一种无证书的代理环签名方案 3 1 3 代理密钥生成 1 a 建立一个授权许可信息w ，内容包括a 和b 的身份信息、授权关系、授 权关系的使用限制等，计算s 。= h ：( w ) s 。，然后将( s 。，w ) 传给b 。 2 b 验证p ( 以，p o ) = p ( 匕，尸) 来证实授权人的身份，然后验证 e ( s 。，尸) = e ( q 口，匕) 2 是否成立，如果成立，授权步骤完成。 3 1 4 代理签名 1 b 选择包括自己在内的一个用户建立环甜= u l ，一，u 。) ，l = e ，只) 为 环用户的公钥集，其中b 为u b ，1 b 船。 2 随机均匀的选择4 研，i b ，并且4 a j , i 歹，计算r ，= e ( a ，p ) g 2 ， h t = h 2 ，m ，r f ) 。 3 随机选择a g l 。 4 计算r = e ( a ，尸) 兀e ( - q , ，h ，h ：( w ) r ) ，若民= 1 g ：或心= r 。，f l ，刀) ， f 垂6 f b ，返回第三步。 5 计算h b = h 2 ( 材，m ，r 6 ) 。 6 计算仃= s 。+ 日2 ( w ) & + 么+ a ，。 l 6 7 消息m 的签名为s i g n = ，m ，r l ，一，r 。，啊，丸，西h 2 ( w ) ) 。 3 1 5 签名验证 1 验证p ( x 。，b ) = p ( 匕，尸) ，e ( x ，r ) = p ( z ，p ) ，i = l ，2 ，刀是否成立来证实授 权人身份和可能代理签名人身份。 2 验证曩= h 2 ( “，研，r f ) ，i = 1 ，门是否成立。 1 2 一种无证书的代理环签名方案 3 验证p p ，p ) = 兀r ，兀p ( q ，h ，h ：( w ) r ) p ( q ，h ：( w ) 匕) 是否成立。 i = it = i 若上述三条都成立，接受签名。 3 2 1 可验证性证明 1 授权签名的可验证性证明 3 2 安全性分析 验证等式p ( x 。，忍) = p ( 圪，尸)e ( s 。，p ) = p ( q 口，l ) h ：”是否成立，若成立 、则为a 的合法授权签名。 证明：e ( x 。，1 o ) = e ( x 。p ，s p ) = e ( x 。s p ，p ) = p ( 匕，p ) ； e ( s 。，p ) = e ( h 2 ( w ) s 。，p ) = e ( h 2 ( w ) x 。j q ，p ) = e ( h 2 ( w ) q o ，x 。s p ) = p ( q 口，t o ) 2 叻 2 代理环签名的可验证性证明 验证等式： e ( x 。，e o ) = p ( 匕，尸) ，e ( x ，i o ) = p ( i ，p ) ，i = 1 , 2 ，玎，啊= h 2 ( 材，聊，r f ) ， f = 1 ，力，e ( c r ，p ) = 兀r ，兀p ( q f ，h 。h ：( w ) r ) p ( q 口，h z ( 川l ) 是否成立。 i = lt = l i i e n ：显然p ( x 。，r ) = e ( y o ，p ) ，e ( x ，b ) = p ( r ，p ) ，i = 1 ，2 ，玎成立，另外 曩= h 2 ( 甜，m ，r ) ，i = 1 ，n 也成立。 - f 面i i e e ( o ，p ) = 兀r 。兀p ( q ，忽日z ( w ) z 弘( q ，h ：( w ) 圪) 。 扭ij = l 一种无证书的代理环签名方案 兀r ，兀e ( q ，啊日：( z ) p ( q ，h ：( w ) 匕) = 兀r ，e ( a ，p ) 兀e ( - q hh ：( w ) f ) 丌p ( q hh ：( w ) ) p ( 级，h b h z ( w ) 艺) p ( q 口，h ：( 们匕) = p ( 彳+ a ，p ) p ( q 6 ，h b h 2 ( w ) s p ) e ( q 。，h ：( 川吒s p ) = p ( 彳+ a j ，p ) e ( h 2 ( w ) h b x 6 s q + 日2 ( w ) l s 纯，尸) = p ( 4 + a ，+ s 。+ h 2 ( w ) s 6 ，尸) f 6 = p p ，p ) 3 2 2 无条件匿名性分析 对于由代理签名人b 自由选取包含自己在内的一个环“= u l 一，虬) 进行 的代理环签名方案，设蛳= ( “，历，r 1 ，一，r 。，吃，h ：( 叻) 是一个有效的代理 环签名，易知该方案是完全对称的，a ，q ，a g l 的选取时完全随机的，所以尾 和红是均匀分布的。对于矿= s w + h b h ：( 叻s + 彳+ a i ，可以知道任意用户配 l 6 生成该签名s i g n 的概率为土1 _ ，与该用户u 。无关，因此即使攻击者( 除 q 1q 。n 了授权人) 获得所有可能的私钥，他能确定出真实代理签名者的概率是1 ，z ，所 以该方案是无条件匿名的。 当然，授权人可以通过计算授权文件w 的h a s h 值日：( w ) ，确定真实代理签 名者的身份。 3 2 3 不可伪造性分析 1 授权签名的不可伪造性证明 由于该方案的授权过程是基于文献 1 5 的b l s 短签名方案，该方案的 不可伪造性已经得到了证明，因此无法找到个w 使得s = s 。 2 代理环签名的不可伪造性证明 本方案是基于文献 8 的c l r s s ，该方案已证明是不可伪造的，所以 1 4 一种无证书的代理环签名方案 本方案也满足不可伪造性。 将攻击者分为三类：普通攻击者、授权人和k g c 普通攻击者不能伪造消息m 的代理签名，因为他不知道授权人a 和代 理签名人b 的私钥，无法计算出盯。 授权人也无法伪造消息朋的代理签名，因为他不知道代理签名人b 的私钥，无法计算出口。 k g c 也无法伪造消息m 的代理签名，因为他只知道授权人a 和代理签 名人b 的部分私钥，而不知道他们的秘密值，所以k g c 也无法得到他们的 私钥，、也无法计算出o r 。 3 2 4 不可否认性分析 因为验证等式中含有授权信息w ，并且授权信息w 是不可伪造的，所以代理 签名人一旦进行了签名，就不能向授权人否认曾经签署过该消息。 3 2 5 可鉴别性分析 授权人的公钥和代理签名人的公钥都出现在代理签名的验证等式中，因此任 何人都可以区分代理签名人是采用自己私钥进行签名还是采用代理私钥进行签 名。 结束语 第四章结束语 本文基于无证书公钥密码体制的优点，提出了一个基于双线性对和无证书的 代理环签名方案，它结合了代理签名和环签名的优点，能够对保证代理人的匿名 性的代理签名进行了有效的应用，可以在电子现金和匿名电子投票等方面进行应 用。 该方案不需要证书的管理，也没有密钥的托管问题，并且满足代理环签名所 要求的可验证性，无条件匿名性，不可伪造性，不可否认性，可鉴别性等性质。 1 6 参考文献 参考文献 【1 】a s h a m i r i d e n t i t y b a s e dc r y p t o s y s t e m sa n ds i g n a t u r es c h e m e s 【a 】i np r o c c r y p t 0 1 9 8 4 ，l e - c t u r en o t e si nc o m p u t e rs c i e n c e 【c 】，b e r l i n ：s p r i n g e r - v e r l a g ，1 9 8 4 ，1 9 6 ：4 7 - 5 3 【2 】s s a i - p i y a m i ，k q p e t e r s o n c e r t i f i c a t e l e s sp u b l i ck e yc r y p t o g r a p h y 【a 】i np r o c a s i a c r y p t 2 0 0 3 ，l e c t u r en o t e si nc o m p u t e rs c i e n c e 【c 】，b e r l i n ：s p r i n g e r - v e r l a g ，2 0 0 3 ，2 8 9 4 ：4 5 2 - 4 7 4 【3 】y r l e e ，h s l e e a na u t h e n t i c a t e dc e r t i f i c a t e l e s sp u b l i ck e ye n c r y p t i o ns c h e m e 【e b o l c r y p t o l o g ye p r i n ta r c h i v e ，r e p o a2 0 0 4 15 0 ，2 0 0 6 ，h t t p ：c i t e s e e r i s t p s u e d u 6 9 6 2 51 h t m l ， 2 0 0 9 3 10 【4 】y d a e - h y u n ，l p i l j o o n g g e n e r i cc o n s t r u c t i o no fc e r t i f i c a t e l e s ss i g n a t u r e 【c 】，i n f o r m a t i o n s e c u r i t ya n dp r i v a c y , a c i s p 2 0 0 4 ，l e c t u r en o t e si nc o m p u t e rs c i e n c e 【c 】，b e r l i n ：s p r i n g e r - v e r l a g ，2 0 0 4 ，3 1 0 8 ：2 0 0 2 1 1 【5 】r r i v e s t ，a s h a m i ra n dy t a u m a n h o wt ol e a kas e c r e t 【a 】i np r o c a s i a c r y p t 2 0 01 ，l e c t u r e n o t e si nc o m p u t e rs c i e n c e 【c 】，b e r l i n ：s p r i n g e r - v e r l a g ，2 0 0 1 ，2 2 4 8 ：5 5 2 - 5 6 5 【6 】m a b e ，m o h k u b o ，k s u z u k i 1 - o u t - o f - ns i g n a t u r e sf r o mav a r i e t yo f k e y s a 】i np r o c a s i a - c r y p t 2 0 0 2 ，l e c t u r en o t e si nc o m p u t e rs c i e n c e 【c 】，b e r l i n ：s p r i n g e r - v e r l a g ，2 0 0 2 ，2 5 01 ： 4 1 5 - 4 3 2 【7 】e z h a n g ，k k i m i d - b a s e db l i n ds i g n a t u r ea n dr i n gs i g n a t u r ef r o mp a i r i n g s a 】i np r o a s i - a c r y p t 2 0 0 2 ，l e c t u r en o t e si nc o m p u t e rs c i e n c e c 】，b e r l i n ：s p r i n g e r - v e r l a g ，2 0 0 2 ，2 5 0 1 ： 5 3 3 - 5 4 7 【8 】w d w u ，j w z e n g ac e r t i f i c a t e l e s sr i n gs i g n a t u r es c h e m ea n da l li d b a s e dm u l t i s i g n a t u r e s c h e m ef r o mm u l t i l i n e a rf o r m s 【j 】j o u r n a lo fm a t h e m a t i c a ls t u d y , 2 0 0 4 ，3 9 ( 2 ) ：4 4 5 2 ( c h i n e s es o u r c e ) 【9 】c e s c h n o r r e f f i c i e n ts i g n a t u r eg e n e r a t i o nb ys m a r tc a r d s 【j 】j o u r n a lo fc r y p t o l o g y , 1 9 9 1 ， ( 4 ) ：1 6 1 1 7 4 【10 】m m a m b o ，k u s u d aa n de o k a m o t o p r o x ys i g n a t u r e s ：d e l e g a t i o no f t h ep o w e rt os i g nm e s s a g e s 【j 】i e i c et r a n s a c t i o n so nf u n d a m e m e n t a l so fe l e c t r o n i c sc o m m u n i c a t i o n sa n dc o m p - 1 7 参考文献 u t e rs c i e n c e s ，1 9 9 6 ，e 7 9 一a ( 9 ) ：1 3 3 8 1 3 5 4 11 】e z h a n g ，s r e i h a n e ha n dc l i n n e wp r o x ys i g n a t u r e ，p r o x yb l i n ds i g n a t u r ea n dp r o x yr i n g s i g n a t u r es c h e m e sf r o mb i l i n e a rp a i r i n g s 【e b o l r e p o r t2 0 0 3 10 4 ，2 0 0 6 ， h t t p ：e p r i n t i a c r o r g 2 0 0 3 1 0 4 ，2 0 0 9 - 3 1 0 【1 2 】杨少春，郎为民基于身份和双线性对的代理环签名方案【j 】微计算机信息，2 0 0 6 ， 1 4 ( 1 2 ) ：7 9 8 1 【1 3 】王尚平，秦慧，梁小龙和马晓静基于双线性对的可证明安全的环签名和代理环 签名【j 】计算机工程与应用，2 0 0 6 ，4 2 ( 8 ) ：1 0 7 1 0 9 ，1 3 2 【r 4 】罗大文，何明星和董丽莉一种新的基于双线性对的、代理环签名方案 j 】计算机 应用研究，2 0 0 7 ，2 4 ( 2 ) ：1 2 5 - 1 2 6 15 】d b o n e h ，b l y